UPDATE 11/03/08: Achten Sie darauf, den ausgezeichneten und ausführlichen Kommentar lesen Dessie Lunsford zu diesem post.

Ich arbeite an einem geheimen Tech Bearbeitung Projekt für einen bevorstehenden Buch und es verweist auf dieser Blog-Eintrag von Tyler Butler auf der MSDN-ECM-blog. Dies ist das erste Mal las ich persönlich eine klare Definition der Bedeutung des eingeschränkten Zugriff. Hier ist das Fleisch der definition:

In SharePoint, anonyme Benutzer’ Rechte werden von der Berechtigungsstufe Beschränkter Zugriff bestimmt.. Beschränkter Zugriff wird eine spezielle Berechtigungsstufe, die kann nicht zugewiesen werden, um einen Benutzer oder eine Gruppe direkt. Der Grund, dass es existiert ist haben Sie eine Bibliothek oder Unterwebsite, die Vererbung von Berechtigungen gebrochen, und Sie einen Benutzer bzw. die Gruppe Zugriff auf nur diese Bibliothek/Unterwebsite, um dessen Inhalt anzuzeigen, die Benutzergruppe müssen einige Zugang zu den Stamm-web. Andernfalls wird die Benutzergruppe die Bibliothek/Unterwebsite durchsuchen kann, auch wenn sie dort über Rechte verfügen, Da es Dinge in der Stamm-Web, die erforderlich sind gibt, um die Website oder Bibliothek zu rendern. Daher, Wenn Sie geben eine Gruppenberechtigungen nur für eine Unterwebsite oder eine Bibliothek, die die Vererbung von Berechtigungen unterbrechen ist, SharePoint wird automatisch begrenzt Zugang zu diese Gruppe bzw. dieser Benutzer auf das Stammweb verschaffen..

Diese Frage kommt hin und wieder auf den MSDN-Foren und ich war schon immer neugierig (aber nicht neugierig genug, um es vor dem heutigen Zahl :)).

</Ende>

Onnieren Sie meinen Blog ab.

Folgen Sie mir auf Twitter bei http://www.twitter.com/pagalvin

In ein Zeichen, das Social Computing mit SharePoint abzunehmen beginnt, Ich sehe eine erhöhte Anzahl von meine Website Fragen. Eine häufig gestellte Frage geht ungefähr so:

"Ich bin Administrator und ich muss alle meine Website zugreifen können. Wie mache ich das?"

Der Trick dabei ist, dass jeder meine Website eigene Websitesammlung. SharePoint-Sicherheit wird normalerweise auf Ebene der Websitesammlung verwaltet und diese Reisen viele einen SharePoint-administrator. Normalerweise, Sie hat bereits Zugang zum Konfigurieren der Sicherheit in der "main" Websitesammlungen und kann nicht erkennen, dass dies nicht automatisch für meine Websites funktionieren.

Websitesammlungen Leben gemeinsam in einem größeren container, welches ist die Webanwendung. Bauernhof-Admins können Sicherheitseinstellungen konfigurieren können, auf der Web-app-Ebene und das ist wie "Admins" gewähren können sich Zugriff auf jede Websitesammlung in der Webanwendung. Dieser Blog-Eintrag beschreibt eine meiner persönlichen Erfahrungen mit Webanwendungsrichtlinien. Unfall festgelegten eine Webanwendungsrichtlinie: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Webanwendungsrichtlinien können gefährlich sein, und ich schlage vor, dass sie sparsam verwendet werden. Wäre ich ein Admin (und Gott sei Dank bin ich nicht), Ich würde ein separates AD-Konto mit dem Namen so etwas wie "SharePoint-Web-App-Administrator erstellen." und die Web-Anwendung-Sicherheitsrolle, die es braucht, dass ein Konto zu geben. Ich würde diese Art der Sache, für die regelmäßig in der Landwirtschaft-Admin oder einzelne Seiten Sammlung-Admins nicht konfigurieren.. Es neigt dazu, mögliche Probleme zu verstecken, denn die Web-app-Rolle keine niedrigeren Ebene Sicherheitseinstellungen überschreibt.

</Ende>

Onnieren Sie meinen Blog ab.

Folgen Sie mir auf Twitter bei http://www.twitter.com/pagalvin

UPDATE (02/29/08): Dieses neue Codeplex-Projekt scheint eine Methode zum Sichern von einzelne Spalten bereitstellen: http://www.codeplex.com/SPListDisplaySetting. Wenn Sie Erfahrung in der Arbeit mit ihm haben, Bitte terlassen Sie einen Kommentar hin.

Forum Poster Frage häufig eine wie diese: "Ich habe eine Manager-Ansicht und und eine Personal-Ansicht einer Liste. Wie ich sichern die Manager-Ansicht so dass Personal nicht verwenden kann?"

Sie Fragen häufig auch eine Frage: "Ich möchte eine bestimmten Metadaten-Spalte zu sichern, sodass nur Manager dieser Spalte bearbeiten können, während andere es nicht selbst sehen können."

Diese Antworten gelten für beide WSS 3.0 und Moos:

• SharePoint bietet Out-of-Box keinen Support für die Sicherung von Ansichten.
• SharePoint bietet keine Out-of-Box-Unterstützung für Sicherheit Spalten.

Es gibt verschiedene Techniken ein folgen können, um diese Art von Sicherheitsanforderungen zu erfüllen. Hier ist was ich denken kann:

• Verwenden von vordefinierten Sicherheit auf Elementebene. Ansichten zu Ehren immer Artikelkonfiguration Sicherheitsstufe. Ereignisempfänger und/oder Workflow kann Sicherheit Aufgaben automatisieren..
• Verwenden Sie persönliche Ansichten, für "Privileg" Ansichten. Dies sind einfach einzurichten. Jedoch, aufgrund ihrer "persönlichen" Natur, Diese müssen für jeden Benutzer konfiguriert werden. Verwenden Sie Standardsicherheit-Konfiguration, um zu verhindern, dass jemand eine persönliche Ansicht erstellen.
• Verwenden Sie eine Datenansicht-Webpart und implementieren Sie eine Art AJAXy-Sicherheitslösung trimmen.
• Roll Ihre eigene Liste Display-Funktionalität und aus Sicherheitsgründen auf Spaltenebene zu integrieren.
• Ändern Sie die Dateneingabeformulare und verwenden Sie JavaScript in Verbindung mit dem Sicherheitsmodell auf Spaltenebene aus Sicherheitsgründen zu implementieren.
• Verwenden Sie ein InfoPath-Formular für die Dateneingabe. Umsetzung auf Spaltenebene aus Sicherheitsgründen per Web Service-Aufrufe zu SharePoint und bedingt verstecken Felder nach Bedarf.
• Rollen Sie Ihrer eigenen ASP.NET Daten Eintrag Funktion, die Spalte Ebene aus Sicherheitsgründen implementiert.

Keine dieser Optionen sind wirklich so toll, aber es gibt mindestens ein Pfad zu folgen, wenn Sie, um benötigen, auch wenn es schwer ist.

HINWEIS: Wenn Sie diese Wege gehen, vergessen Sie nicht über "Aktionen-> Mit Windows_explorer öffnen". Sie wollen sicher sein, dass Sie mit diesem Feature um sicherzustellen, dass es nicht als eine "Hintertür funktioniert testen" und besiegen Ihre Sicherheitsschema.

Haben Sie andere Ideen oder Erfahrungen mit Spalten oder Sichten sichern, Bitte mailen Sie mir oder einen Kommentar hinterlassen und ich werde diesen Beitrag gegebenenfalls aktualisieren.

</Ende>

Onnieren Sie meinen Blog ab.

UPDATE: Ich diese Frage hier zu MSDN geschrieben (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) und Michael Washam von Microsoft reagierte mit einer kurzen Antwort.

Ich habe einen Web Service zu handeln als ein BDC-freundlichen Fassade auf einer SharePoint-Liste. Wenn ich dies aus meiner Entwicklungsumgebung gebraucht, Es wirkten Bußgeld. Wenn ich dies auf einen neuen Server migriert, Dieser Fehler:

Hier ist 69:

Verwendung (SPSite Site = neue SPSite("http://localhost/sandbox"))

Ich habe versucht verschiedene Variationen über die URL, einschließlich der Verwendung von real-Namen des Servers, Ihre IP-Adresse, nachgestellte Schrägstriche in der URL, usw.. Ich habe immer diesen Fehler.

Ich habe Die Google es Forschung. Viele Menschen stellen diese Frage, oder Varianten davon, aber niemand schien es gelöst haben.

Tricksy MOSS bereitgestellten eine detaillierte Fehler, die es nicht, um mich auftreten zu prüfen, die 12 Bienenkorb-Protokolle. Schließlich, über 24 Stunden nach Mein Kollege empfohlen, dass ich das tun, Ich überprüfte die 12 Struktur Protokoll und fanden diese:

Die lokale Farm zu erwerben ist eine Ausnahme aufgetreten.:
System.Security.SecurityException: Angeforderte Registrierungszugriff ist nicht zulässig..
bei System.ThrowHelper.ThrowSecurityException(ExceptionResource Ressource) bei Microsoft.Win32.RegistryKey.OpenSubKey(Zeichenfolgennamen, Boolean beschreibbar) bei Microsoft.Win32.RegistryKey.OpenSubKey(Zeichenfolgennamen) bei Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_RegistryConnectionString() bei Microsoft.SharePoint.Administration.SPConfigurationDatabase.get_Local() bei Microsoft.SharePoint.Administration.SPFarm.FindLocal(SPFarm& Bauernhof, Boolean& isJoined)
Die Zone der Assembly, die fehlgeschlagen war.:  MyComputer

Dies eröffnet neue Wege der Forschung, So war es zurück zu Google. Das führte mich zu diesem Beitrag im Forum: http://Forums.CodeCharge.com/Posts.php?Post_id = 67135. Das half mir nicht wirklich, aber es wurde gestartet, macht mich glaube, es war ein Datenbank- und/oder Sicherheit Problem. Ich festgelötet auf und Andrew Connell Post-der Gedanke, dass ich dafür sorgen sollten, dass der Anwendungspool Identitätskonto Zugriff auf die Datenbank hatte schließlich ausgelöste. Ich dachte, dass es bereits Tat. Jedoch, Mein Kollege ging und gab den app Pool Identität Konto vollen Zugriff auf SQL.

Sobald sie diese Änderung vorgenommen, Alles begann.

Was geschah als nächstes am besten ist ausgedrückt als eine Haiku Gedicht:

Probleme erheben ihre Hände.
Sie schwingen und verpassen. Wiederholen.
Erfolg! Aber wie? Warum?

Sie wollte nicht, wie die Dinge allein lassen, lieber geben Sie die mindestens erforderliche Berechtigung (und wahrscheinlich mit Blick auf einen Blog-Eintrag zu schreiben; Ich schlug sie auf den Stempel, muhahahahaha!).

Aufeinander folgende Berechtigungen entfernt sie die app-Anwendungspool-Identitätskonto bis … Es gab nicht mehr jede explizite Berechtigung für das Konto der Anwendungspoolidentität app überhaupt. Der Webdienst weiter gut funktionieren.

Wir gingen und die Server neugestartet. Alles weiterhin gut funktionieren.

Also, zur Erinnerung: Wir gaben den vollen Zugang zum app Pool Identität und dann nahm es fort. Der Webdienst gestartet, arbeiten und nie aufgehört zu arbeiten. Bizarre.

Wenn jemand weiß, warum, die gearbeitet haben, sollten, Bitte terlassen Sie einen Kommentar hin.

</Ende>

Ich brauchte eine Sicherheitsanforderung für ein InfoPath-Formular erfüllen. In dieser Situation Unternehmen, eine relativ kleine Anzahl von Personen dürfen ein neues InfoPath-Formular erstellen und ein viel breiteres Publikum dürfen es bearbeiten. (Hierbei neue Mitarbeiter auf-Boarding Form von Human-Ressourcen verwendet, die einen Workflow startet).

Um dieses Ziel zu verwirklichen, Ich habe erstellte zwei neue Berechtigungsstufen ("erstellen und aktualisieren" und "nur update"), Vererbung für die Formularbibliothek brach und Berechtigungen zu zugewiesen a "erstellen, Update" Benutzer- und separates "Update nur" Benutzer. Alle die Mechanik arbeitete, aber es erwies sich als ein wenig mehr mit als ich erwartet hatte. (Wenn Sie das Gefühl ein wenig wackelig auf SharePoint-Berechtigungen, dieser Blogbeitrag). Die erforderlichen Sicherheits-Konfiguration für die Berechtigungsstufe war nicht die offensichtliche Reihe von abgestuften Berechtigungen. Erstellen eine Update-nur Berechtigungsstufe für ein InfoPath-Formular, Ich habe Folgendes:

1. Eine neue Berechtigungsstufe erstellen.
2. Deaktivieren Sie alle Optionen.
3. Nur die folgenden von "Berechtigungen" ausgewählt:

• Elemente bearbeiten
• Elemente anzeigen
• Anwendungsseiten anzeigen

Auswahl dieser Optionen kann ein Benutzer ein Formular aktualisieren, aber nicht zu schaffen.

Der Trick bestand darin, die "Anwendungsseiten anzeigen" aktivieren. Es gibt keine mündlich auf der Berechtigungsstufe, die angibt, die für nur-Update-InfoPath-Formulare benötigt, hat, aber Kurven heraus, es ist.

Erstellen und aktualisieren war auch Fremde. Ich folgte die gleichen Schritten, 1 durch 3 oben. Ich musste eigens eine "Site-Berechtigung hinzufügen" Option: "Verwenden Sie Clientintegrationsfeatures". Wieder, die Beschreibung dort macht es scheinen, wie es für ein InfoPath-Formular erforderlich sein sollte nicht, aber es ist.

</Ende>

UPDATE 01/28/08: Diese Codeplex-Projekt wird dieses Problem behoben: http://www.codeplex.com/AccessChecker. Ich habe es nicht verwendet, aber es sieht viel versprechend, wenn dies eine Frage ist, müssen Sie Adresse in Ihrer Umgebung.

UPDATE 11/13/08: Joel Oleson schrieb ein sehr guter Beitrag über die größere Sicherheit Verwaltung Frage hier: http://www.sharepointjoel.com/lists/posts/Post.aspx?Liste = 0cd1a63d % 2D183c % 2D4fc2 % 2 D 8320 % 2Dba5369008acb&ID = 113. Er verbindet einige andere nützlichen Ressourcen.

Forumbenutzer und Kunden Frage oft eine in diese Richtung: "Wie ich eine Liste aller Benutzer mit Zugriff auf eine Website generieren" oder "wie kann ich automatisch benachrichtigt alle Benutzer mit Zugriff auf die Liste zu Änderungen an der Liste?"

Es gibt keine Out-of-Box-Lösung für dieses. Wenn Sie für einen Moment darüber nachdenken, Es ist nicht schwer zu verstehen, warum.

SharePoint-Sicherheit ist sehr flexibel. Es gibt mindestens vier Hauptkategorien von Benutzern:

• Anonyme Benutzer.
• SharePoint-Benutzer und Gruppen.
• Active Directory-Benutzer.
• Formularbasierte Authentifizierung (FBA) Benutzer.

Flexibilität bedeutet, dass aus Sicht der Sicherheit, jede angegebene SharePoint-Website wird drastisch voneinander unterscheiden. Um einen Access-Liste-Bericht generieren, man braucht, um festzustellen, wie die Website gesichert ist, mehrere unterschiedliche Benutzer-Profil-Repositories Abfragen und dann auf nützliche Weise zu präsentieren. Das ist ein schwieriges Problem, generisch zu lösen.

Wie sind Organisationen mit dies tun.? Ich würde gerne in den Kommentaren von Ihnen zu hören oder E-Mail.

</Ende>

UPDATE 12/18/07: Finden Sie Paul Liebrand Artikel für einige technischen Konsequenzen zu entfernen oder ändern die Standard-Gruppennamen (Siehe auch seinen Kommentar unten).

Übersicht:

SharePoint Security ist leicht zu konfigurieren und verwalten. Jedoch, Es erweist sich als schwierig für manche Administratoren erstmals wirklich ihre Hände um ihn herum umbrochen werden. Nicht nur das, Ich habe gesehen, dass einige Administratoren perfekt verstehen am Montag nur bis es von Freitag verloren haben, weil sie nicht haben in der Zwischenzeit keine Konfigurationseinstellungen vornehmen. (Ich gebe zu, habend dieses Tücke mich). Dieser Blog-Eintrag hoffentlich bietet eine nützliche SharePoint-Sicherheit-Grundierung und weist auf einige bewährte Sicherheitsmethoden für Konfiguration.

Wichtiger Hinweis:

Diese Beschreibung basiert auf SharePoint-Sicherheit nach dem Auspacken. Meine persönliche Erfahrung ist um MOSS orientiert, so dass es möglicherweise einige MOSS bestimmte Dinge hier, aber ich halte es für WSS genau. Ich hoffe, dass jemand sehen, Fehler oder Auslassungen, die in den Kommentaren darlegen wird oder mailen Sie mir. Ich mache Korrekturen hast post.

Grundlagen:

Für die Zwecke der in dieser Übersicht, Es gibt vier grundlegende Aspekte zur Sicherheit: Benutzer/Gruppen, sicherungsfähige Objekte, Berechtigungsstufen und Vererbung.

Benutzer und Gruppen nach unten zu brechen:

• Einzelne Benutzer: Gezogen von active Directory oder direkt in SharePoint erstellten.
• Gruppen: Zugeordneten direkt aus dem active Directory oder in erstellte SharePoint. Gruppen sind eine Sammlung von Benutzern. Gruppen sind global in einer Websitesammlung. Sie sind nie "gebunden" für ein bestimmtes sicherungsfähiges Objekt.

Sicherungsfähige Objekte mindestens bis zum brechen:

• Standorte
• Dokumentbibliotheken
• Einzelne Elemente in Listen und Dokumentbibliotheken
• Ordner
• Verschiedene BDC-Einstellungen.

Es andere sicherungsfähige Objekte, aber Sie erhalten das Bild.

Berechtigungsstufen: Ein Bündel von körnigen / Low-Level-Zugriff-Rechte, die solche Dinge wie erstellen/Lesen/löschen Einträge in Listen enthalten.

Vererbung: Standardmäßig erben Entitäten Sicherheitseinstellungen von ihrem Objekt. Unterwebsites erben Berechtigung von ihrem übergeordneten. Dokumentbibliotheken erben ihrer Website. So weiter und so fort.

Benutzer und Gruppen beziehen sich auf sicherungsfähige Objekte über Berechtigungen und Vererbung.

Die wichtigsten Sicherheitsregeln zu verstehen, Immer 🙂 :

1. Gruppen sind einfach Sammlungen von Benutzern.
2. Gruppen sind global innerhalb einer Websitesammlung (dh. Es gibt keine solche Sache wie eine Gruppe auf einer Websiteebene der definiert).
3. Gruppenname nicht widerstehen, Gruppen nicht, in und von sich selbst, haben Sie besonderen Maß an Sicherheit.
4. Gruppen haben Sicherheit im Zusammenhang mit einem bestimmten sicherungsfähigen Objekt.
5. Sie können unterschiedliche Berechtigungsstufen auf die gleiche Gruppe für jedes sicherungsfähige Objekt zuweisen..
6. Webanwendungsrichtlinien trump all dies (siehe unten).

Sicherheitsadministratoren verloren in einem Meer von Gruppen- und Angebote können immer auf diese Axiome zu verwalten und zu verstehen ihre Sicherheitskonfiguration verlassen.

Häufige Probleme:

• Gruppennamen implizieren fälschlicherweise Berechtigung: Out of the box, SharePoint definiert eine Reihe von Gruppen, deren Namen eine inhärente Sicherheitsstufe implizieren. Betrachten Sie die Gruppe "Contributor". Eine SharePoint-Sicherheit vertraut kann gut Schau dir diesen Namen und davon ausgehen, dass jedes Mitglied der Gruppe "beitragen können" zu jeder Seite/Liste/Bibliothek in das portal. Das mag wahr sein, aber nicht, weil der Name der Gruppe ist nun mal "Mitwirkender". Dies gilt nur, out of the Box, da die Gruppe eine Berechtigungsstufe bereitgestellt wurde, die sie hinzufügen/bearbeiten/löschen auf der Stammwebsite ermöglicht, Inhalt zu. Durch Vererbung, die Mitwirkenden"" Gruppe kann auch hinzufügen/bearbeiten/löschen Inhalt bei jedem Sub-Standort. Man kann "brechen" die Vererbungskette und Ändern der Berechtigungsstufe für eine Unterwebsite, dass Mitglieder der so genannten "Beitragszahler" Gruppe kann nicht auf allen beitragen., aber nur lesen (zum Beispiel). Das wäre keine gute Idee, offensichtlich, Da wäre es sehr verwirrend.
• Gruppen sind nicht auf einer Websiteebene definiert.. Es ist leicht, von der Benutzeroberfläche zu verwechseln. Microsoft bietet einen praktischen Link zu Benutzer/Gruppe Management über jede Seite "Benutzer und Gruppen" Verbindung. Es ist leicht zu glauben, dass wenn ich Standort "Xyzzy am" und erstelle ich eine Gruppe durch Xyzzy des Menschen und Gruppen zu verknüpfen, die habe ich eine Gruppe, die nur existiert nur erstellt, um xyzzy. Das ist nicht der Fall. Ich habe tatsächlich eine Gruppe für die gesamte Websitesammlung erstellt..
• Gruppen-Mitgliedschaft variiert nicht von Website (dh. Es ist das gleiche überall, wo die Gruppe verwendet wird): Betrachten Sie die Gruppe "Besitzer" und zwei Seiten, "HR" und "Logistik". Es wäre normal zu denken, dass zwei getrennte Individuen Netzwerktraffic besitzen würde — ein HR-Eigentümer und Besitzer einer Logistik. Die Benutzeroberfläche macht es einfach für dieses Szenario schlecht Sicherheitsadministrator. Wenn ich nicht besser wissen, Ich könnte die Menschen und Gruppen Links über die HR-Website zugreifen., Wählen Sie die "Besitzer" Gruppieren und meine HR-Besitzer dieser Gruppe hinzufügen. Einen Monat später, Logistik geht online. Ich habe Zugriff Menschen und Gruppen auf den Logistikstandort, Pull-up "Besitzer hinzufügen" Gruppe. Ich sehe den HR-Besitzer gibt und sie entfernen, denken, dass ich ihr von den Eigentümern des Logistik-Standorts entfernen bin. Tatsächlich, Ich bin ihr aus der globalen Gruppe Besitzer entfernen.. Heiterkeit entsteht.
• Ausgefallene Namen Gruppen basierend auf spezifischen Rolle: Die genehmigenden"" Gruppe ist ein perfektes Beispiel. Was können Mitglieder dieser Gruppe genehmigen? Wo können sie es genehmigen? Will ich wirklich Menschen Logistikabteilung, HR-Dokumente genehmigen zu können? Natürlich nicht. Nennen Sie immer Gruppen basierend auf ihrer Rolle innerhalb der Organisation. Dies reduziert das Risiko, dass die Gruppe eine unangemessene Berechtigungsstufe für ein bestimmtes sicherungsfähiges Objekt zugewiesen ist. Name-Gruppen basierend auf ihre vorgesehene Funktion. Im vorherigen Szenario HR/Logistik, Ich sollte zwei neue Gruppen erstellt haben: "HR-Besitzer" und Logistik Inhaber"" und weisen sinnvolle Berechtigungsstufen für jeden und der Mindestbetrag erforderlich für jene Benutzer, ihre Arbeit zu tun.

Andere nützliche Verweise:

• Web-Anwendung Politik gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
• Clearingstelle für SharePoint-Sicherheit: http://www.sharepointsecurity.com/
• Links von Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Wenn Sie es, das gemacht haben weit:

Lass es mich wissen, Ihre Gedanken über die Kommentare oder mailen Sie mir. Wenn Sie wissen, dass andere guten Referenzen, Bitte das gleiche tun!